Gestern hat die Deutsche Telekom in Zusammenarbeit mit dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) die als „Volksverschlüsselung“ bezeichnete Software veröffentlicht und unter der Überschrift: „Volksverschlüsselung: Deutschland mailt sicher“ angepriesen. Da die Software u.a. mit markanten Worten im Beitrag und auf der Startseite Ihrer Homepage wirbt, nehmen wir uns diese Worte zu Herzen und schauen im Detail an, ob es den Machern gelungen ist Ihre Ziele umzusetzen und welchen Nutzen Anwender aus der Software ziehen können. 1 2
Mit welchen Worten wirbt die Software genau?
Ende-zu-Ende-Verschlüsselung schützt vor Massenüberwachung, denn sie stellt sicher, dass nur Sender und Empfänger Nachrichten im Klartext lesen können. Obwohl es eine Vielzahl von Verschlüsselungslösungen gibt, werden diese bislang kaum genutzt. Hauptgrund hierfür ist, dass die Anwendung im Alltag für viele Menschen zu kompliziert ist. Mit der Volksverschlüsselung hat Fraunhofer SIT deshalb eine Initiative gestartet, um den Einsatz von Verschlüsselungstechnologien in der breiten Bevölkerung zu etablieren.
Einer der Haupthinderungsgründe für eine Nutzung von Ende-zu-Ende-Verschlüsselung ist die Komplexität von Schlüsselbeantragung und -Management. Hauptziel der Volksverschlüsselung ist es deshalb, die Benutzerfreundlichkeit von Verschlüsselungstechnik zu verbessern.
Die Idee dahinter ist also eigentlich sehr gut, aber welche Funktionalität hiervon wirklich bereits existiert und wie diese Ende-zu-Ende-Verschlüsselung umgesetzt wurde analysieren wir gleich. Aber zuerst einmal eine Übersicht was die „Volksverschlüsselung“ den einzelnen Benutzergruppen verspricht und welche Punkte diese davon auch wirklich hält.
Was soll die „Volksverschlüsselung“ für Anwender bringen?
Je mehr Menschen Verschlüsselungslösungen nutzen, desto höher ist die Sicherheit der Gesellschaft und der Schutz jedes einzelnen Teilnehmers vor unbefugter Überwachung. Die Volksverschlüsselungsinitiative hat das Ziel, Bürgerinnen und Bürgern eine sichere Ende-zu- Ende-Verschlüsselung für Dateien und Kommunikation zu bieten. Die Initiative möchte den Nutzern benutzerfreundliche und sichere Lösungen zur Verfügung stellen, die sich möglichst kostenlos nutzen lassen.
Ziel erfüllt: NEIN, denn durch das fehlende Vertrauen der Programme in die "Zertifikatsbehörde" wird weder die Sicherheit für die Ende-zu- Ende-Verschlüsselung erhöht, noch bietet diese dadurch eine sichere Kommunikation an, der man vertrauen kann. Nur wenn der Kommunikationspartner am anderen Ende auch nachprüfen kann, wer Ihm gerade eine E-Mail geschickt hat, hat auch die notwendige Sicherheit die für eine wirkliche Ende-zu- Ende-Verschlüsselung notwendig ist. Daher wäre es wichtig, dass das Root-Zertifikat in den Browsern bzw. Mail-Programmen mit aufgenommen wird, aber warum dies wohl nicht der Fall werden wird erklären wir noch später.
Was soll die „Volksverschlüsselung“ für Unternehmen bringen?
Ende-zu-Ende-Sicherheit schützt Unternehmen vor Wirtschaftsspionage und wirkt IT-basierten Angriffen entgegen. Die Volksverschlüsselung sucht Partner, welche die Initiative aktiv unterstützen. Unternehmen, Behörden und Verbänden bietet die Initiative dazu individuelle Beteiligungsmöglichkeiten, die Größe und Fähigkeiten des jeweiligen Partners berücksichtigen. Derzeit baut die Initiative ein Partnernetzwerk auf, das der Diskussion zwischen Experten und Anwender-Organisationen dient.
Ziel erfüllt: NEIN, denn dieselben Probleme die für die Anwender von Bedeutung sind, benötigen natürlich erst recht die Unternehmen. In der jetzigen Form kann man schlichtweg nicht sicherstellen wer am anderen "Ende der Leitung" geschrieben hat und ob der Inhalt der Mail nicht doch verfälscht wurde.
Warum die Telekom bzw. das Fraunhofer SIT annimmt das es ein "Interesse" aus der Industrie für eine solche Lösung geben wird ist uns schleierhaft. Die Technologie die hinter den Zertifikaten steckt, existiert bereits seit dem Jahr 1995 und wird seitdem bereits Weltweit in einer sicheren Art und Weise verwendet. Worin der Vorteil auf das "unsichere Telekommodell" zu wechseln bestehen soll, wird leider nirgends beschrieben und ist uns schleierhaft. Zumal stehen noch nicht einmal die Verfügbarkeit geschweige denn die Kosten der Software bzw. Zertifikate für den Unternehmenseinsatz fest.
Was soll die „Volksverschlüsselung“ für Entwickler bringen?
Um eine massenhafte Anwendung von Ende-zu-Ende-Sicherheit zu erreichen, fehlt es noch an benutzerfreundlichen Krypto- Lösungen und Verschlüsselungs- Infrastrukturen. Deshalb möchte die Volksverschlüsselung Entwickler stärker vernetzen. Die Initiative richtet sich gleichermaßen an Hersteller-Unternehmen wie an Open-Source-Projekte. Ziel ist die Identifizierung von sinnvollen Partnerschaften und die bessere Vernetzung innerhalb der Krypto-Community.
Ziel erfüllt: NEIN, denn ohne den Quellcode zu veröffentlichen bzw. noch nicht einmal entschieden zu haben unter welcher Lizenz die Software veröffentlicht wird, kann es auch keine Entwickler geben die an einer solchen Lösung interessiert wären. Somit ist die „Volksverschlüsselung“ im jetzigen Stadium höchstens als Freeware zu bezeichnen, ob dies in Zukunft auch so bleiben wird ist noch nicht einmal klar. Uns ist kein anderer Fall bekannt bei dem man eine Software erst einmal installieren und nutzen soll damit danach der Software-Hersteller über die "Lizenzbedingungen" entscheiden kann. Das nennen wir mal "Innovation aus Deutschland"!
Mit welcher Software und welchem Betriebssystem kann man die Software einsetzen?
Bisher ist nur die Windows-Version verfügbar welche auch nur mit Microsoft Outlook oder Mozilla Thunderbird zusammenarbeitet. Unterstützung anderer Mail-Programme und weiterer Betriebssysteme sind zwar in Planung, jedoch stehen hierfür keinerlei Veröffentlichungsdaten fest.
Fraglich bleibt aber, warum ein Unternehmen bei seiner Software welche mit Datensicherheit und Verschlüsselung wirbt, das seit dem 8. April 2014 eingestellte Betriebssystem Windows XP, welches längst nicht mehr mit Updates versorgt wird, auflistet.
Kann man Zertifikate für Unternehmen beantragen?
Nein, noch nicht. Wann dies der Fall sein wird und wie viel diese Zertifikate kosten werden ist noch nicht festgelegt. Aber laut FAQ ist dies zumindest in Planung.
Kann man ein Zertifikat für eine "anonyme" bzw. Sammel-E-Mail-Addresse erhalten?
JA, ABER entgegen den von international anerkannten Anbietern verwendeten Zertifikaten ist die Mail-Adresse dann nicht mehr "anonym" oder als Sammel-Addresse Nutzbar. Im „Volksverschlüsselung“-Zertifikat wird immer der Klarname des Zertifikatsanträgers gespeichert und somit sind Rückschlüsse auf den Besitzer jederzeit möglich sind. Bei den "einfachen" Personenzertifikaten der anderen Anbieter werden keinerlei Daten dieser Art erfasst bzw. geprüft. Somit ist dieses kostenlose Zertifikat nicht für "anonyme" oder Sammeladdressen geeignet.
Warum bekommen Kommunikationspartner welche die „Volksverschlüsselung“ nicht nutzen eine Fehlermeldung dass das ausgestellte Zertifikat ungültig ist?
Das Fraunhofer SIT nutzt ein selbst signiertes Root-Zertifikat, das beim Mail-Austausch mit Nutzern anderer S/MIME-Zertifikate zu Fehlerwarnungen führt. Schließlich stellt ein solches Zertifikat eine Art Behörde dar, welche einen Personalausweis ausstellt und diesen beglaubigt.
Da aber generell jeder mit einem PC eine solche Behörde (Root-CA) erstellen kann werden national und international nur sehr wenigen Root-CAs von den Browsern und Mail-Programmen vertraut und es gibt strenge Vorgaben und Regeln damit eben nicht jeder sich selbst ein gültiges Zertifikat ausstellen kann.
Und warum ist das Frauenhofer SIT Root-Zertifikat nicht vertrauenswürdig?
Damit ein Root-Zertifikat anerkannt wird muss ein sogenanntes "Audit" durchgeführt werden, dieses Verfahren ist langwierig und sehr kostenintensiv für den Antragssteller (mindestens eine hohe 5-stelliger Summe) und muss in regelmäßigen Abständen wiederholt werden. Damit sich die Kosten für ein Unternehmen rechnen muss auch dementsprechend Kundenschaft vorhanden sein welche diese bezahlen. Ohne dieses Audit wird kein Root-Zertifikat in einen Browser oder ein Mail-Programm aufgenommen und es kommt zu diesem Fehler, schließlich weiß das Programm nicht ob das Zertifikat echt ist oder nicht. Ob das Fraunhofer SIT das Audit überhaupt durchführen will oder nicht ist nicht bekannt.
Das sich diese Investition allerdings nicht immer rentiert zeigt das Beispiel des S-Trust-Centers der Sparkasse, welches den gleichen Service seit längerem eingestellt hat. 3
Was bedeutet dies für die Kommunikationspartner?
Jeder Kommunikationspartner der die „Volksverschlüsselung“ nicht selbst einsetzt wird ohne eigene Handarbeit eine Fehlermeldung für das verwendete Zertifikat erhalten und dadurch den Inhalt der Mail sowie deren Authentizität infrage stellen. Solange dieser Zustand wegen der fehlenden Akkreditierung der Root-CA, keine sichere und vorallem nachprüfbare Kommunikation ermöglicht, bestehen bleibt, wird es wohl auch keinerlei großes Interesse an dieser Lösung geben.
Wer kann sich ein Zertifikat erstellen?
Jeder der die „Volksverschlüsselung“ selbst mit den unterstützten Mail-Programmen einsetzt. Außerdem ist die Benutzung der Software zur Zeit nur deutschen privaten Anwendern welche entweder einen Telekom-Vertrag, einen Personalausweis mit elektronischen Chip oder einen 12-stelligen Code den man auf der CEBIT oder der it-sa 2016 erhält, möglich. Somit also noch viel weniger Personen als die, in unseren Augen gescheiterte, DE-Mail Lösung welche die Telekom mit anderen Unternehmen wie z.B. 1und1, Web.de, u.a. deutsche Anbieter betreibt.
Wie zuverlässig und sicher ist die Software?
Ohne das der Quellcode auf Sicherheitslücken überprüft wurde kann keinerlei Aussage über die Qualität und Sicherheit der Software gemacht werden. Auch die versprochene Funktionalität das der private Schlüssel des Zertifikats ausschließlich beim Nutzer bleibt kann somit noch nicht abschließend untersucht werden.
Da aber Aufgrund des Fehlens eines gültigen Root-Zertifikats sich jedoch von vornherein keine vertrauensvolle Mail-Kommunikation aufbauen lässt, schmälert dies bereits die Sicherheit versprochene Sicherheit dramatisch.
Welches Ziel hat die Software aus unserer Sicht bisher erfüllt?
Wenigstens einen versprochenen Punkt würde die Software im jetzigen Stadium wirklich einlösen: den Zertifikats-Antragsprozess zu vereinfachen. Aber wirklich neu oder besonders innovativ ist diese Funktion nicht, fasst alle international aktiven und anerkannten Zertifikatsaussteller haben bereits solche Lösungen im Einsatz.
Auch per Software anderer Anbieter ist es möglich mit wenigen Angaben einen Antrag zu stellen und den privaten Schlüssel auf seinen PC zu behalten. Jedoch benötigt man hierfür weder einen Telekom-Account, noch ist man auf eine kleine Benutzergruppe beschränkt oder der Kommunikationspartner bekommt eine Fehlermeldung angezeigt. Ganz im Gegenteil, das Programm zeigt dem Anwender sogar an ob man dem Zertifikat vertrauen kann oder nicht!
Unser Fazit
Zwar wird das Ziel für den Endanwender einen benutzerfreundlichen Zertifizierungablauf bis hin zur Einrichtung und Konfiguration einiger Anwendungsprogramme erreicht, jedoch ist das ausgestellte Zertifikat für den nationalen und internationalen E-Mailverkehr unbrauchbar. Hier wurde sowohl bei der Planung als auch bei der Umsetzung geschlampt. Die Art und Weise in welcher Form diese Software als "Open Source" bezeichnet wird ist sehr verstörend und in keinster Weise mit der Regeln und der deutschen Rechtsprechung vereinbar.
Es gibt am Markt bereits etablierte Lösungen welche dieselbe Verschlüsselungstechnik für eine wirklich sichere und nachvollziehbare Ende-zu-Ende-Verschlüsselung einsetzen und dabei nicht auf eine national sehr kleine Anwenderschaft beschränkt sind.
Ihr HardCoreTec-Team
Quellenangaben und Anmerkungen:
1. Volksverschlüsselung: Deutschland mailt sicher
2. Volksverschlüsselung Homepage